Menschliche Schwächen in der Sicherheit

Von Richard Werner, Business Consultant

Klassische Cyberangriffe starten häufig mit einer Mail. Ein Nutzer öffnet sie und klickt arglos auf den darin enthaltenen Link und … im Unternehmen gehen die Lichter aus. Kein Wunder, dass viele dazu neigen, die Ursache der Problematik bei besagtem Nutzer ausgemacht zu haben — genauer gesagt über die Hälfte der Befragten zweier im Juli 2021 stattgefundener Webinare in Deutsch und Englisch (für Europa) mit zusammen über 1000 Teilnehmern. Hier wurde jeweils die Frage gestellt, welches der folgenden Probleme das „größte“ bei der eigenen Unternehmens IT-Security sei: dass „Mitarbeiter Fehler begehen, die zu Infektionen führen“, „mangelndes Budget“, „fehlerhafte Security Tools“ oder „Überlastung der IT-Security-Abteilung“. In tatsächlich von Cyberattacken betroffenen Unternehmen treffen natürlich mehrere dieser Faktoren zu. Aber die größten Bauchschmerzen verursachten mit jeweils über 50% die „unbedarften“ Mitarbeiter. Es steht außer Frage, dass viele Probleme in der IT-Security mit dem Faktor Mensch zusammenhängen, aber eine einseitige Fokussierung auf den unvorsichtigen Mitarbeiter kann dabei zu falschen Schlussfolgerungen und ernsthaften Konsequenzen führen.

Schwachstelle Mitarbeiter

Diese These geht von einem Mitarbeiter aus, der einen Link anklickt oder einen Anhang öffnet, dem eigentlich anzusehen ist, dass er verdächtig ist, und so hilft er unwissentlich, einen Angriff vorzubereiten. Eigentlich ist der „unvorsichtige Mitarbeiter“ tatsächlich ein im Verhältnis zu anderen „Schwachstellen Mensch“ ein eher geringes Problem, doch ist es eines der wenigen Stellschrauben, bei der man ohne großen Aufwand für alle Beteiligten relevante Verbesserungen erzielen kann. Deshalb sollten die Mitarbeiter unbedingt über die neuesten Tricks informiert werden. Sie sollten zudem eine Möglichkeit erhalten, verdächtige Mails prüfen zu lassen — und bedanken Sie sich jedes Mal, wenn ein Mitarbeiter eine Angriffsmail erkannt hat, denn das hilft Angriffe zu stoppen.

Übrigens sind Mitarbeiter nur deshalb in der Lage, eine solche Attacke zu identifizieren, weil Cyberkriminelle immer noch erfolgreich genug damit sind, mit generisch erzeugten Mails ihre Zwecke zu erreichen. Deren nächster Trick liegt längst schon im Baukasten. So verwendete Emotet bereits Antworten (replys) auf zuvor gesendete Mails. Und selbst das ist noch nicht das Ende des technisch Möglichen. Doch Cyberkriminelle scheuen unnötige Aufwände. Das aber heißt, dass jedes Training nur dazu dient, dem Angreifer die Arbeit zu erschweren. Das Problem beheben wird es nicht.

Schwachstelle IT-Fachkraft/Security

Erhält ein Mitarbeiter eine E-Mail hat sie bereits mehrere technische Ebenen durchlaufen. Sandbox-Verfahren, künstliche Intelligenz sowie andere Technologien wurden entwickelt, um Angriffe direkt zu erkennen. Tun sie es nicht, so gibt es auf Systemebene und im Netzwerk weitere Sicherheitslösungen die allesamt ebenfalls verdächtige Aktivitäten erkennen sollten. Das sind Profiwerkzeuge, die mit aller Erfahrung erstellt und gerade zu diesem Zweck implementiert werden, um am Ende dem Menschen ein sicheres Arbeiten zu ermöglichen. Können all diese technischen Werkzeuge den Angriff nicht verhindern oder zumindest identifizieren, so stellt sich ohnehin die Frage, warum ein „normaler“ User für irgendetwas verantwortlich gemacht werden kann. Technische Werkzeuge sowie ein Team, um diese zu warten und zu schärfen, werden dafür angeschafft und bezahlt, Mitarbeitern die Entscheidung abzunehmen, ob etwas gut ist oder nicht!

Doch genau hier liegt ein häufig übersehenes Problem: IT-Sicherheitstechnologie ändert sich ständig. Genauso wie auch die Angreifer ihre Waffen schärfen, tun das auch die Verteidiger. Dadurch entstehen ständige Updates, funktionale oder strategische Änderungen. Hinzu kommt, dass Unternehmen immer komplexere IT-Umgebungen bauen und immer mehr Daten verarbeiten. Parallel wird eine funktionierende IT immer kritischer für die operativen Fähigkeiten eines Unternehmens.

IT-Security Mitarbeiter, wenn sie sich denn überhaupt auf IT-Security fokussieren können, sind mit der Vielzahl an Systemen und unterschiedlichen Konfigurationsoptionen überfordert. Entscheidet ein Unternehmen zudem Security-Lösungen taktisch zu kaufen, wird die Arbeitslast potenziert. (Unter taktischem Einkauf versteht man das Verhalten, sich erst dann um eine Security-Neuanschaffung zu bemühen, wenn ein Problem aufgetreten ist oder dieses nicht länger ignoriert werden kann.) Diese Vorgehensweise sorgt unter anderem dafür, dass Systeme nicht aufeinander abgestimmt agieren, sondern nur punktuelle Aufgaben erfüllen. Dadurch entstehen Wissenslücken und Fehler aufgrund von Überforderungen. Auch führt die Überlastung nicht selten zur Frustration im Job.

Schwachstelle IT-Softwareentwicklung

Ähnliche Herausforderungen finden sich auch in der Softwareentwicklung. Ausgelöst durch den gestiegenen App-Bedarf von Konsumenten werden immer mehr Softwarekomponenten entwickelt oder zusammengesetzt. In DevOps-Verfahren ist die Entwicklung praktisch eine Endlosschleife, und die Menschen, die hier tätig sind, kennen sich natürlich aus in der IT. Und dennoch begehen genau diese Experten die oft lächerlichsten Fehler … aus Security-Sicht. So wird der „ganzen Welt“ Zugriff auf die Kundendatenbank gegeben, weil vergessen wurde Berechtigungen zu definieren. Oder man hat im Rahmen der Entwicklung Login-Daten programmiert aber vergessen, den einfachen Workaround wieder zu ändern, und deshalb ist der Zugang zu den Kreditkarten der Kunden eben nur mit Username und Passwort „admin“ gesichert. Alle diese Fehler kommen vor, und wenn das Unternehmen wichtig genug ist, so bekommt es bei einem Vorfall sogar Schlagzeilen. Auch hier ist die Ursache vor allem Stress. Denn bei der Softwareentwicklung wird Druck gemacht. Das neue Feature soll doch bitte heute noch kommen und nicht morgen. Nachbessern lässt sich ja nach Bedarf. Da wird das ein oder andere Problemchen gerne mal übersehen oder auch bewusst ignoriert. Hinzu kommt, dass die wenigsten Softwareentwickler Security-Lösungen entwickeln. Security ist ein ungeliebtes Gimmick, zu dem man nicht selten gezwungen wird.

Schwachstelle CISO – C-Level

Natürlich erkennt die Unternehmensleitung den hohen Stellenwert der IT-Security an. Sie wird allerdings oftmals als notwendiges Übel betrachtet und nur selten als integraler Bestandteil der Wertschöpfungskette. Sie soll möglichst wenig kosten und am besten kaum zu spüren sein. Tatsächlich konnten die meisten Unternehmen in den letzten Jahren trotz im Verhältnis geringer Ausgaben sehr erfolgreich diese Taktik umsetzen. Getreu dem Motto „never change a running system“ werden die Jahrzehnte alten Konzepte nicht hinterfragt, sondern konsequent weiter verfolgt.

Doch hat sich auch die Sicherheitswelt geändert. Sowohl die Quantität als auch die Qualität von Cyberangriffen nimmt seit Jahren stetig zu. Allein 2021 gab es mit „Sunburst“, „Hafnium“ und „Kaseya“ riesige Aufreger, von einzelnen Vorfällen mit weltweitem Echo wie der „Colonia Pipeline-„ oder des „JBS Hack“ ganz abgesehen. Der Wirtschaftsboom im Cyber-Untergrund ist dabei kein wieder verschwindender Zufall, sondern eine strukturelle Änderung. So schafften die Einführung von Kryptowährungen sowie politische Animositäten eine weltgeschichtliche Neuheit mit einem unkontrollierten, vielleicht sogar unkontrollierbaren globalen Markt für kriminelle Aktivitäten. Die Einmaligkeit dieser Situation ist etwas, das inzwischen sogar auf höchster politischer Ebene diskutiert wird.

Dies spiegelt sich beispielsweise In Ponemons/Trend Micros Untersuchung zum Cyber Risk Index wieder. Bemerkenswert ist ein deutlicher Rückgang der Zuversicht, dass auch das C-Level die Bedrohungslage ernst nimmt, obwohl praktisch alle Befragten von einer erhöhten Risikolage ausgehen. Dies hängt mit einer allzu menschlichen Schwäche bzw. einem Talent zusammen, welches gerade unter IT-Security Personal nicht allzu weit verbreitet ist. Es geht um das Talent, dem Vorgesetzten die Notwendigkeit von Maßnahmen richtig „zu verkaufen“. Denn gerade in Unternehmen wo die bisherige IT Security erfolgreich alles abgewehrt hat, gibt es selten zusätzliches Budget für mehr Personal oder modernere Lösungen. Hier gilt es diplomatisch vorzugehen, denn die bislang tadellose Arbeit kann ja nicht kritisiert werden. Und dennoch… die Situation ändert sich aufgrund der äußerer Faktoren (wie oben beschrieben), die für IT-Security-Spezialisten häufig schwierig zu argumentieren sind, da sie abseits der eigenen Expertise existieren. Gerade CISOs fällt es deshalb schwer, die Änderung der Bedrohungslage glaubwürdig zu artikulieren, um damit auch Budget, Technik- und Personalverbesserungen zu erreichen. Mit dem IT-Sicherheitsgesetz (2) unterstreicht die Bundesregierung noch einmal die Wichtigkeit der IT und der IT-Sicherheit für kritische Infrastrukturen, um in punkto Argumentation weiter zu unterstützen. Denn auch wenn sich das zynisch anhört… oft geschieht erst etwas, wenn die zu erwartenden Strafen spürbar sind (leider).

Schwachstelle IT-Security – SOC Fachkraft

Viele der unter das IT-Sicherheitsgesetz fallende Unternehmen, aber auch immer mehr Mittelständler entscheiden sich deshalb für die Schaffung eines Security Operation Centers. Die hier arbeitenden, hoch spezialisierten Mitarbeiter sollen Security-Vorfälle analysieren und möglichst auch sofort beheben. Was in der Theorie das Problem von Cyberattacken wirksam bekämpft, wird in der Praxis oft zur Herausforderung. Die Probleme des Fachkräftemangels und des historisch gewachsenen Zoos der gekauften Einzellösungen führen auch hier dazu, dass die Arbeitslast von SOC-Mitarbeitern enorm zunimmt. So gaben 70% in einer Trend Micro-Umfrage unter weltweit über 2000 Befragten an, der berufliche Stress habe Einfluss auf ihr Privatleben. Im Job führt die Überlastung u.a. dazu, dass Alarme bewusst ignoriert werden (40% gaben dies zu), um an etwas anderem zu arbeiten und jeweils 43% ihren Arbeitsplatz überfordert verließen oder den Alarm einfach abgestellt haben. Hinzu kommt, dass ihre Arbeit selten Würdigung erfährt, wenn „nichts passiert“. Eine hohe Fluktuation gerade im Mittelstand ist die Folge und sorgt für eine weitere Verschärfung der Personal Problematik.

Zusammenfassung

Tatsächlich sind menschliche Schwächen das Problem in der IT-Security. Aber es sind eben nicht die „normalen Mitarbeiter“, die die größten Sorgen bereiten. Fehlende Anerkennung bei stetig zunehmender Arbeitslast gepaart mit dem Druck, möglichst schnell und effizient zu sein, sorgen für eine zunehmende Frustration und Fehleranfälligkeit gerade bei IT- und speziell bei IT-Security-Fachpersonal.

Die seit mehr als 20 Jahren bestehende Patch-Problematik hat sich in den letzten Jahren durch eine regelrechte Software Explosion vervielfältigt und führt dazu, dass die IT-Sicherheitsteams kaum noch den Überblick haben, was eigentlich eingesetzt wird, geschweige denn, wie der Sicherheitszustand vieler Systeme ist.

Unternehmen verlieren auf der anderen Seite die Fähigkeit, schnell auf Vorfälle zu reagieren und haben kaum Personal, dass mit der Bewältigung echter Ernstfälle zurecht kommt. Auf der anderen Seite entsteht eine regelrechte Untergrundwirtschaft, die vor allem die Spezialisierung ihrer Protagonisten beflügelt hat. In diesem Klima ist ein dringendes Umdenken erforderlich. Althergebrachte IT-Sicherheitsstrategien müssen überdacht werden. Moderne Techniken implementiert und im Verwaltungsbereich optimiert werden. Je mehr Automatismen existieren, um Mitarbeiter zu entlasten, desto besser können sich diese auf ernsthafte Probleme fokussieren. Zusammen mit seinen Fachhandelspartnern bietet Trend Micro Lösungen und Prozesse an, um hierbei zu unterstützen.

Menschen sind Menschen und das bleibt so. Was sich ändert, sind die Rahmenbedingungen und die haben sich gerade massiv geändert. Und hier noch ein Naturgesetz: Es überlebt, wer sich am besten an neue Umweltbedingungen anpassen kann. Deshalb hier ein paar Tipps:

  1. Verkürzen Sie die Aktualisierungszyklen der IT-Sicherheit. Sie müssen schneller in der Lage sein, moderne Technologie zu implementieren. Mit „Software as a Service“-Angeboten bieten diverse Anbieter die Möglichkeit, diese Zyklen selbst durchzuführen. Achten Sie bei der Wahl eines Partners auch darauf, wie gut ein Hersteller grundsätzlich neue Technologien aufbauen kann. Einmal „Cutting Edge“-Technologie zu liefern, reicht nicht. Viel wichtiger ist es auch, den langen Atem zu haben, neue Entwicklungen mitzugehen.
  2. Analysieren Sie die Verwaltbarkeit Ihrer Verteidigung. Einen Cyberkriminellen schreckt die Komplexität der Security nicht. Viel wichtiger ist die Frage, ob Sie in der Lage sind, den Überblick über ungewöhnliche Ereignisse im Netzwerk zu behalten. Häufig sind gerade SOC- und IT-Security-Mitarbeiter überarbeitet und kommen kaum noch zu ihrer Regeltätigkeit. Im Ernstfall dann richtig zu reagieren ist schwer.
  3. Security ist kein Ziel das erreicht wird, sondern ein Prozess der angepasst werden möchte, so das BSI. Früher bemühte man sich eher periodisch mit Ablauf einer Lizenz um neue Funktionalität. Das reicht heute nicht mehr. Da Cyberkriminelle an Angriffen auf Unternehmen arbeiten, müssen Unternehmen auch auf dem Stand der Technik bleiben, um sich zu verteidigen. Wenn die eigenen Mitarbeiter dies nicht zu leisten vermögen, können Managed Service-Projekte in allen Belangen unterstützen.
  4. Die Absicherung nach außen reicht nicht. Angreifer schaffen es durch jede Verteidigung. Entscheidend ist, wie schnell Sie in der Lage sind, diese zu lokalisieren und dann das Problem zu beheben. Hier sind sogenannte XDR-Strategien die neueste Option. Unsere XDR Strategie heißt Trend Micro Vision One.
  5. Ziehen Sie eine Zero Trust-Strategie in Betracht. Sie sollten dabei vor allem davon ausgehen, dass die Technik Ihres Unternehmens kompromittiert wurde. Denn auch wenn es gelingen kann, einen Menschen davon zu überzeugen, etwas Böses zu tun, ist dies in der Regel wesentlich schwerer als Passwörter zu stehlen und die Technik zu täuschen. Auch das ist Thema einer XDR-Strategie.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.